數字化時代蘇州銀行自動化網絡安全運營實踐

蘇州銀行信息科技部副總經理蔡亞新

沒有網絡安全就沒有國家安全。我國高度重視網絡安全工作，已將網絡安全上升至國家戰略層面。近年來，網絡安全法、數據安全法等法律法規陸續出臺，各類監管要求持續提高，常態化風險防控成為金融業務開展的必要條件。

隨著信息化建設的飛速發展，云計算、大數據、生物識別、人工智能等技術與金融業務深度融合，在推動銀行業務創新、服務效率提升的同時，也使網絡安全風險的形態、路徑和邊界發生了巨大變化，最終使中小銀行網絡安全的管理難度持續提升。

【資料圖】

作為蘇州本土唯一一家法人城商行，蘇州銀行歷來高度重視網絡安全工作，積極貫徹國家網絡安全戰略，探索建立自動化網絡安全運營體系，切實踐行網絡安全和數據安全管理要求。

一、蘇州銀行自動化網絡安全運營體系建設背景

近年來，蘇州銀行持續從安全管理、終端安全、網絡安全、數據安全等方面優化信息安全建設路線，在各層級建立了較完善的信息安全防護框架，構建了具備抗DDOS攻擊防護、網絡入侵監測防護、Web應用防護、主機安全防護、攻擊誘捕溯源等能力的多縱深立體化安全技術防護體系，可有效識別并攔截絕大部分互聯網惡意攻擊行為。但伴隨網絡攻擊工具、攻擊手法的不斷升級，特種木馬、0day漏洞、水坑攻擊、釣魚攻擊、APT攻擊等新型攻擊手段層出不窮，通過安全設備和殺毒軟件進行防護和事后處理的模式已無法完全滿足安全運營的需求。

在傳統安全運營中，受限于人才儲備不足、技術能力有限等客觀因素，中小銀行安全團隊在識別隱蔽復雜攻擊的及時性和有效性上存在不足，無法有效滿足7×24小時的預警要求,同時事件監測、響應與遏制均由人工操作，工作效率也成為安全事件處理的瓶頸。

基于當前的網絡安全痛點，結合2022年原銀保監會下發的《關于銀行業保險業數字化轉型的指導意見》有關“強化網絡安全防護”的整體要求，蘇州銀行建立了基于安全編排自動化與響應(SOAR)的網絡安全運營平臺，旨在全面提升網絡安全事件的分析研判和預防處置水平。

二、蘇州銀行自動化網絡安全運營探索與實踐

1.SOAR成為安全運營新趨勢

SOAR的目標是將安全編排和自動化(SOA)、安全事件響應(SIR)和威脅情報平臺(TIP)功能融合到單個解決方案中，實現事件響應、安全自動化、場景管理的融合，支持進行多種類設備協調和威脅處置決策。Gartner分別在2020年和2022年發表《SOAR市場應用指南》報告，詳細分析了SOAR的市場發展情況并給出相關建議，評估SOAR如何提升政企組織的安全運營能力。

SOAR憑借自身特點和優勢，正在成為中小銀行關注的焦點。分析機構Forrester認為，SOAR是一種將跨安全和業務生態系統的第三方工具集成在一起的自動化技術，可實現對安全事件的分診、協調，并采取基于劇本的協同行動。SOAR的目標是讓安全運營更快、減少出錯幾率，并且更加高效。SOAR在網絡安全運營領域具有以下三大優勢：

一是通過流程優化，釋放人力資源。銀行機構通過流程化的方式將解決方案自動生成事件，應用SOAR進行智能分析，將事件中重復、常規的部分交由機器完成，從而縮短安全人員在數據收集上消耗的時間，使其集中更多精力投入到調查和響應事件中去。

二是加強人機融合，增強安防能力。銀行機構將人工智能技術引入自動化編排中，可使人員、流程、技術無縫融合，實現劇本與流程的整合以及安全技術與安全人員的整合，從而大大縮短響應時間，增強企業的網絡攻防實戰能力。

三是智能化編排，滿足合規要求。銀行機構通過豐富的模型編排算法優化與場景設置，可對安全事件做出高效的發掘和應對，同時使數據保護滿足多場景應用，大大提升安全入侵檢測處置能力，滿足法律法規要求。

2.蘇州銀行自動化網絡安全運營建設

在安全運營流程方面，蘇州銀行已經建立起有效應對數字化轉型的網絡安全運營體系，并完整覆蓋威脅管理的檢測、研判、溯源和響應四個階段；基于SOAR建立了自動化安全響應分析運營平臺，實現了實時數據的關聯分析及歷史數據的關聯檢索，可幫助安全運營團隊實現自動閉環研判和溯源，從整體上提升了網絡安全運營效率，為數字化轉型戰略的順利實施提供了可靠的保障。

在自動化安全分析方面，蘇州銀行已經實現自動化安全響應分析運營平臺與統一日志平臺、一體化運維管理平臺、處置平臺的安全聯動，將網絡攻擊鏈和ATT&CK安全攻防模型相結合，自主設計基于時間序列、行為、簽名和統計分析的威脅分析框架與知識模型，有效覆蓋網絡攻擊、信息泄露、違規操作、業務風險等信息安全領域，并引入可視化工具輔助人工分析，深度挖掘APT等高級持續攻擊風險事件；同時，利用精確日志數據字段內容、多標簽告警抑制及基于時間序列、資產關聯和異常行為標簽的相似度關聯告警分析策略，有效壓縮安全告警數量，聚焦安全運營分析處置。

在自動化安全響應方面，蘇州銀行構建基于SOAR的劇本引擎，建立反入侵知識庫和資產庫，通過自動化安全處置操作，有效縮短平均檢測和響應時間，使入侵檢測時間從小時級壓縮至分鐘級，實現了對海量告警事件的研判分析和主動防御，以及流程重塑能力、風險控制能力和運營效率的提升。

3.蘇州銀行自動化網絡安全創新實踐

(1)攻擊路徑可視溯源

在日常安全運營工作中，面對龐大的系統和業務，網絡拓撲往往會比較復雜。安全設備告警中的受害資產IP一般為虛擬IP，在對受害資產采取進一步應急響應措施時，安全專家需要花費大量時間根據虛擬IP層層查找定位真實IP，這無疑大大降低了安全事件的平均修復時效。

為解決這一問題，蘇州銀行建立了虛擬IP地址管理模塊，通過進行攻擊路徑可視化管理，可自動分析出網絡拓撲結構，同時通過溯源引擎關聯資產、網絡、告警、情報四大因素，支持對完整的攻擊事件進行回溯，使安全人員可以清楚地看到攻擊者通過何種方式侵入內網，如何橫向移動，形成完整的攻擊路徑拓撲視圖(如圖1所示)。

圖1 攻擊路徑拓撲視圖

(2)全面攻擊者畫像概覽

在日常安全運營中，對IP告警的分析和處置是最常見的場景，但單純分析IP地址本身無法確定是定向攻擊還是隨機掃描，是初始攻擊還是攻擊后利用。攻擊者攻擊手法的多樣性使銀行機構無法有效追蹤攻擊者、排查攻擊者的意圖、明確攻擊者的范圍。

為此，蘇州銀行構建了關聯分析引擎、溯源引擎，并結合第三方威脅情報最大化收集攻擊者信息，通過大數據進行篩選和挖掘，分析攻擊者來源、攻擊手段、攻擊特征與攻擊目標，并運用自動化取證技術辨別攻擊者是否采用跳板，利用溯源引擎還原真實攻擊路徑、歷史活動軌跡和活躍程度、攻擊包詳情等細節，將IP信譽情報全面升級為攻擊者畫像，從而在發現惡意IP發起攻擊時，可有針對性地排查內容安全隱患，并在真實攻擊發生前消除安全隱患。當前，溯源引擎可日均分析攻擊者畫像300余條。

(3)從實戰出發進行調查取證和自動化處置

蘇州銀行針對掃描攻擊、漏洞利用等實際安全事件場景，通過使用流程編輯器自動進行劇本處置，實現跨分析平臺、運維管理系統、網絡設備等多異構平臺流程的編輯和資源編排，并將其貫穿于安全分析、封堵處置、事件報告全生命周期，有效提升人工跨專業設備的分析效率。安全事件分析模塊將安全專家事件分析、調查取證工作場景劃分為攻擊檢測劇本、誤報監測劇本、研判輔助劇本、溯源分析劇本、處置響應劇本五類劇本引擎(如圖2所示)。

圖2 安全事件分析模塊

蘇州銀行利用劇本技術固化安全專家經驗，結合外部威脅情報、大數據分析和SOAR等技術，實現安全運營的自動化取證、自動化威脅研判、自動化誤報分析、自動化溯源及自動化聯動處置，提升安全事件分析研判時效150余倍、安全事件處置時效50余倍，構建了可知、可見、可控、可持續提升的安全事件運營能力框架。

三、蘇州銀行網絡安全工作展望

金融行業網絡安全是國家安全的重要組成部分，切實做好網絡安全工作既是企業之急，也是企業之責。未來，蘇州銀行將繼續圍繞發展、安全“兩手抓”的戰略要求，堅持安全賦能業務，以積極的心態做好常態化網絡安全保障建設，提供更加優質、高效和安全的金融服務。

1.提升網絡安全智能防護能力

蘇州銀行將持續加強安全大數據積累，建立內外部網絡安全態勢統一視圖，同時將大數據、人工智能、零信任等技術運用到網絡安全防護體系中，不斷提升自動化和智能化水平，有效應對復雜、嚴峻的網絡安全挑戰。

2.增強數據安全閉環管理能力

蘇州銀行將深入貫徹落實個人信息保護法、《金融數據安全數據生命周期安全規范》等法律法規，在相關業務流程和日常管理領域進一步優化數據安全工作機制，探索使用多方安全計算、聯邦學習等技術，持續增強數據安全使用的閉環管理能力。

3.打造安全管控齊防共治能力

蘇州銀行將強化供應鏈管理，防范供應鏈和生態圈安全風險；做好新技術應用的風險評估，規范新技術使用場景，加強科技創新的風險監測與處置；加強與人民銀行、國家金融監督管理總局、公安部、網信辦等部門的溝通聯動，建立科學有效的全鏈條網絡安全聯防聯控機制，構建健康穩定的網絡安全長治生態。

本文刊于《中國金融電腦》2023年第8期

關鍵詞：

責任編輯：Rex_12